Dat mag dus toch niet, persoonsgegevens van je leden verkopen?

| AE 11812 | Ondernemingsvrijheid, Privacy | 46 reacties

De KNLTB heeft van de Autoriteit Persoonsgegevens (AP) een geldboete gekregen van ruim een half miljoen euro voor het verstrekken van persoonsgegevens aan twee commerciële partners. Dat meldde het AD onlangs. De tennisbond gaat in beroep tegen de sanctie. De verstrekking is in strijd met de AVG, omdat er geen invulling van het eigen gerechtvaardigd belang mogelijk is wanneer je niets meer doet dan persoonsgegevens verstrekken tegen betaling. En ja, ik dacht dat het wel mocht maar ik ga dus toch proberen enigszins objectief een analyse te maken van de zaak. Want stiekem worden hier toch een paar best fundamentele standpunten ingenomen die laten we zeggen voor de markt een tikje verrassend waren.

In maart vorig jaar kwam in het nieuws dat de KNLTB op zoek was naar extra bronnen van inkomens, en haar ledenlijst als een waardevol betaalmiddel ziet. Daarom is besloten om die ledenlijst eens commercieel te activeren, door ze aan (ongetwijfeld zorgvuldig geselecteerde) partners te geven. Deze mogen dan bellen of brieven sturen met reclame, totaal maximaal drie keer per kwartaal. E-mail is uitgezonderd, daarvoor moeten leden een aparte opt-in geven vanwege het spamverbod uit de Telecomwet. (En daar ging het overigens ook bij mis, uit het boetebesluit blijkt dat er wél zonder opt-in mailadressen zijn verhandeld. Maar dat terzijde.)

Een aantal leden pikte dat niet, en diende klachten in bij de AP. Die trad vervolgens zeer voortvarend op, inclusief een mediaoptreden van de voorzitter waaruit je zou kunnen afleiden dat een boete onvermijdelijk was. (De AP betreurt die gang van zaken maar stelt desondanks gewoon objectief te hebben gehandeld.) Na onderzoek kwam men dan ook direct met een boete aanzetten. Wat dus mag onder de AVG én de boetebeleidsregels van de AP zelf, als de overtreding ernstig genoeg is. En dat is dus hier het geval, aldus de toezichthouder.

Inhoudelijk komt het vooral neer op de vraag: wanneer mag je zonder opt-in commercieel handelen in persoonsgegevens? Daar is naar de letter van de AVG een antwoord op: als je je kunt beroepen op een eigen gerechtvaardigd belang, en daarbij een privacyafweging hebt gemaakt die in jouw voordeel afweegt. Een voorbeeld van zo’n afweging is dat je camera’s in kan zetten om je terrein te bewaken, maar dat je inzage in de beelden beperkt tot politie in geval van strafbare feiten. Het onderliggende belang is dan het beschermen van je eigendomsrecht.

De AP komt nu met het strenge standpunt dat commerciële belangen nooit gerechtvaardigd kunnen zijn. Die zijn namelijk niet als zodanig in de wet erkend, in tegenstelling tot zeg eigendomsrecht of de vrijheid van meningsuiting. Er is natuurlijk het grondrecht van de ondernemingsvrijheid, maar dat vindt men te onbepaald en generiek om als grondslag te kunnen dienen voor de handel in persoonsgegevens. Daarmee is er dus eigenlijk nóóit een rechtvaardiging te verzinnen om in persoonsgegevens te handelen, als ik even tussen de regels samenvat.

Daar komt bij dat tot 2007 de leden bij lid worden niet expliciet werden gemeld dat dit zou gaan gebeuren. Voor die categorie gaat het nog iets erger mis: de doelbinding tussen de oorspronkelijke verzameldoeleinden (de lidmaatschapsovereenkomst) en het nieuwe doel (de handel) ontbreekt volledig. En dan mag je simpelweg de gegevens niet inzetten voor het nieuwe doel, ook niet als je daar een mooie grondslag-redenering voor weet te verzinnen. En nee, dat krijg je ook niet recht door je privacystatement aan te passen, want de gegevens hád je dan al. Je moet het dus echt opnieuw vragen, maar in die situatie is het onvermijdelijk dat je toestemming gaat vragen.

En ja, ik vind dit controversiële standpunten, ik zou zelfs zeggen gedurfd. Het betekent natuurlijk de doodsteek voor datahandel, dus daarom volgt hoe dan ook bezwaar en daarna beroep bij de rechtbank. Maar het boetebesluit legt de pijn bloot van hoe datahandel werkt en hoe hard het eigenlijk niet klopt. Dus ik ben benieuwd.

Arnoud

Doe mij eens wat meer van die boetes van 5000 euro

| AE 11637 | Ondernemingsvrijheid | 5 reacties

De Belgische privacywaakhond heeft twee boetes van 5000 euro opgelegd aan lokale politici, las ik bij Tweakers. De politici gebruikten gegevens die ze in hun ambt hadden verkregen (“burgers die een beroep op hen als burgemeester/schepen deden”) om ze politieke reclame te sturen. Dat is in strijd met het beginsel van doelbinding aldus de Gegevensbeschermingsautoriteit, die aan de boete tevens een berisping koppelde. Het getal van 5000 euro zal misschien wat wenkbrauwen doen fronsen: kon de AVG niet tot 20 miljoen per overtreding aan boetes opleveren? Ja, en toch ben ik erg blij met deze eh microboete. Want dit werkt beter.

In België zijn burgemeester en schepen (wethouden) politieke beroepen. De beboete burgemeester en schepen gebruikten lijsten van burgers uit hun gemeente om ze op te roepen op hen te stemmen. En die lijsten verkregen ze dus via hun ambt, wat strijd oplevert met de doelbinding: gegevens mag je niet voor andere doeleinden inzetten dan waarvoor ze zijn verkregen (behoudens de direct nabij en volkomen logisch aanverwante doelen). Politieke reclame voor jou als persoon heeft natuurlijk niets te maken met je werk als ambtenaar, ook niet als je via verkiezingen op die plek gekomen bent en daar graag weer wilt zitten.

Boetewaardig dus. En stevig ook, in theorie staat daar die 20 miljoen per overtreding op. Maar de Gegevensbeschermingsautoriteit houdt het bescheiden en wel bij 5000 euro per persoon. Dat komt zo te lezen omdat het gaat om een eerste overtreding door privépersonen en een gering aantal persoonsgegevens, hoewel de zaak zo ernstig wordt gezien (het gaat over verkiezingen, dat is de kern van de legitimatie van ons bestuur) dat men er ook nog een publieke reprimande tegenaan gooit. (Die de politieke tegenstanders ongetwijfeld in het verkiezingsdebat gaan aanvoeren.)

Waarom ben ik nou zo blij met 5000 euro? Nou ja, omdat zo’n boete écht afschrikt. Zeg nou zelf, als je weet dat je in privé 20 miljoen moet ophoesten, dan zul je daar weinig wakker van liggen. Dat bedrag lukt toch niet, dus dat spreekt niet tot de verbeelding. Maar 5000 euro kwijt zijn aan een overtreding? Dat is voorstelbaar, doet echt pijn en je kunt je inleven op welke manier. Dat hakt er dus veel meer in – zeker bij de vele kleinere bedrijven dan de clubs waarvoor die 20M als maximale boete in de wet is gezet.

Natuurlijk staat of valt het uiteindelijk met handhaving. Maar ook dan denk ik, juist kleine boetes kun je makkelijker opleggen. Megaboetes hebben de neiging gejuridiseerd te worden. Als je Facebook een boete oplegt, wéét je dat je hoe dan ook vele jaren verder bent totdat het Hof van Justitie van de EU een uitspraak doet, en dan nog. Een mkb-ondernemer die 5000 euro moet aftikken omdat hij een klantenlijst verkocht, die gaat die stappen niet nemen. Die baalt als een stekker, ontslaat zijn marketeer en doet het beter. En zijn collega’s ook.

En het leuke is volgens mij dat juist die handhaving in het klein vaak te automatiseren is. Privacystatements checken of ze wel in eenvoudige taal is, dat kun je met een script. Het verwerkingsregister van een bedrijf opvragen en op trefwoorden controleren (is er een tab Personeelsadministratie, bijvoorbeeld) is ook eenvoudig uit te voeren. Maak dáár nou eens werk van, dan wordt de AVG veel effectiever gehandhaafd.

Arnoud

Wat als ik in het wintertijduur te hard rijd?

| AE 11571 | Regulering | 12 reacties

Een lezer vroeg me:

Gisternacht reed ik om 03:15 (zomertijd) oftewel 02:15 (wintertijd) over de A2 langs een flitspaal. Ik reed keurig 100 maar bedacht me, als ik te hard had gereden dan was ik geflitst en dan had er dus 02:15 op de boete gestaan. Maar om 02:15 (zomertijd) was ik nog op het werk, en daar zijn beelden en logs van (een datacenter). Had ik daarmee dan onder de boete uit gekund?

Leuk geprobeerd, maar nee.

Ik dacht eerst dat het antwoord makkelijk zou zijn: de tijd van de overtreding zal wel in UTC vastgelegd zijn, en dan is corrigeren voor wintertijd triviaal. Maar dat viel dus tegen, want op alle voorbeelden van verkeersboetes die ik kan vinden staat gewoon “02:15” zonder tijdzone-aanduiding. En toen las ik dat in 2013 de trajectcontrole bij de zomertijd misging, de klok werd niet verzet waardoor iedereen foute boetes kreeg. Dus eh, kennelijk is het wel mogelijk, dit theoretisch scenario.

Maar desondanks, nee je komt er niet mee onder de boete uit. Deze specifieke optie kende ik nog niet, maar dat verkeerscontrolesystemen fouten maken met de tijd van de overtreding komt vaker voor. Mensen gaan dan in beroep (Wet Mulder, meestal, maar ook in het strafrecht) en dan wordt de foute tijd aangepast door de officier en gaat de zaak gewoon verder.

Een fout als deze is volgens de leerboekjes een vormfout, de overtreding is immers niet begaan op het tijdstip dat er staat. Maar in de praktijk moet je het als officier wel héél bont maken wil je op een vormfout je zaak verliezen. Zeker als het gaat om triviale details zoals wanneer het feit precies begaan is, tenzij het tijdstip van de overtreding natuurlijk raakt aan de kern.

In geval van een verkeersovertreding als deze is het tijdstip hier niet relevant. Ja, er zijn stukken op de A2 waar de maximumsnelheid tijdsafhankelijk is, maar dan gaat het om 06:00-19:00 en of het nu 01:15, 02:15 of 03:15 was, je zit altijd binnen hetzelfde vak. Er is geen plek op de A2 waar het voor de snelheid van belang is of je er om 01:15, 02:15 of 03:15 reed.

De discussie over tijd wordt pas relevant als het gaat om zo’n tijdvakgrens. Want als je 130 rijdt om 19:02 en het systeem zegt dat je dat deed om 07:02, dan kan dat het verschil maken tussen wel of niet strafbaar zijn (pardon, onderwerp zijn van een administratieve boete, het is bestuursrecht immers). Dat is dus wat er misging in 2013 op de A2, dat zijn onterechte boetes want er was geen strafbaar feit begaan.

Maar dit zijn héél zeldzame situaties. De hoofdregel is en blijft: de tijd deed er niet toe, het gaat erom of het feit begaan is. Dus zelfs als de flitscameraklok werkelijk 100% verkeerd stond en je kunt aantonen dat je op het vermelde tijdstip werkelijk ergens anders was, dan nog krijg je de boete en die moet je gewoon betalen – als je op enig ander tijdstip wel die fout hebt begaan.

Arnoud

De Spaanse Liga mag dus niet je microfoon inzetten om illegale voetbaluitzendingen te detecteren

| AE 11332 | Intellectuele rechten, Privacy | 3 reacties

De Spaanse voetbalbond heeft een boete van 250.000 euro gekregen van de toezichthouder vanwege overtreding van de AVG, meldde Tweakers vorige week. De app luistert met de microfoon mee om illegale voetbalstreams op te sporen aan de hand van voor mensen onhoorbare tonen in de sportuitzendingen. Hoewel de app daarmee niet direct mensen afluistert (althans… Lees verder

De eerste schadeclaim onder de AVG is binnen, maar het is wel een rare zaak

| AE 11321 | Privacy | 16 reacties

Het is waarschijnlijk een juridische primeur: een rechter heeft een schadevergoeding toegekend op grond van de Algemene verordening gegevensbescherming (AVG). Dat meldde RTL Z afgelopen vrijdag. De gemeente Deventer moet van de rechter 500 euro betalen aan een man van wie de gemeente de naam en woonplaats doorspeelde naar tientallen andere gemeenten. Ik ken ook… Lees verder

Nog meer dingen die van de AVG ineens niet zouden mogen

| AE 10713 | Privacy | 62 reacties

Oh jee, de AVG. Dat begint een beetje een vervelend mantra te worden sinds 25 mei. Omdat de nieuwe privacyverordening zo veel nieuwe regels met zich meebrengt, komt vrijwel iedereen erachter dat dingen anders moeten. En vernieuwing is vervelend, zeker als het op grond van zoiets raars als privacy moet gebeuren. Een greep dus uit… Lees verder

“Mijn werkgever wil me een contract met boete over de AVG laten tekenen, is dat normaal?”

| AE 10680 | Ondernemingsvrijheid, Privacy | 6 reacties

Diverse lezers tipten me (dank) over deze vraag op Reddit: Mijn werkgever wilt mij een contract laten tekenen ivb met de nieuwe privacywet (avg). Is dit normaal? Wie het contract in kwestie leest, ziet dat het een addendum is op een arbeidscontract waarbij de werknemer geheimhouding opgelegd krijgt, en belooft netjes met persoonsgegevens om te… Lees verder

Mag mijn werkgever me persoonlijk aansprakelijk stellen (met boete) op AVG-overtredingen?

| AE 9931 | Ondernemingsvrijheid | 27 reacties

Een lezer vroeg me: Mijn werkgever eist dat ik een addendum op mijn arbeidscontract teken waarin opgenomen is dat ik persoonlijk aansprakelijk ben voor datalekken en niet-naleving van de AVG, inclusief een boetebeding voor 5.000 euro per geval. Ben ik verplicht dit te tekenen? Ik vind het wel héél ver gaan en overweeg serieus ontslag… Lees verder

Dutch Filmworks gaat in oktober illegale downloaders opsporen en laten betalen

| AE 9632 | Intellectuele rechten | 94 reacties

Filmdistributeur Dutch Filmworks heeft aangekondigd illegale downloaders van films vanaf oktober op te sporen en te laten betalen via een schikkingsvoorstel. Dat meldde Tweakers vorige week. De filmmaatschappij is al eventjes bezig, onder meer begin deze maand met toestemming van de privacytoezichthouder om IP-adressen aan NAW-gegevens te mogen koppelen van mensen die torrenten. Maar ik… Lees verder

Kabinet heeft geen interesse in Nederlandse boetewet sociale media

| AE 9530 | Uitingsvrijheid | 14 reacties

Het kabinet ziet niks in een nieuwe wet die sociale media beboet bij verspreiding van haatzaaiende berichten, meldde Nu.nl onlangs. Een recent aangenomen Duitse wet zet boetes tot 50 miljoen euro op het doen verspreiden van haatzaaiende, smadelijke of anderszins onrechtmatige inhoud, voor beheerders van social media platforms. Volgens de Nederlandse ministers zou dat weinig… Lees verder